Les groupes à l’origine de rançongiciel apparaissent et disparaissent plus vite que jamais. Rien qu’en juin, Avaddon a publié ses clés de décryptage en toute transparence et a disparu de la circulation, tandis que les membres de CLOP ont été arrêtés en Ukraine. Cette action fait suite à la pression croissante exercée par les services de renseignement américains et les autorités ukrainiennes, qui ont éliminé le rançongiciel Egregor en février dernier. Egregor n’existait que depuis septembre 2020. Il a survécu moins de six mois.

Mais ces gangs ne disparaissent pas, ils passent simplement dans la clandestinité. Malgré les « dissolutions », les cas de rançongiciel continuent d’augmenter et de nouveaux acteurs représentant une menace et des pirates indépendants apparaissent chaque jour sur le dark web.

Comme les acteurs des logiciels malveillants font profil bas et refont surface avec de nouvelles versions, il est devenu impossible de suivre le flux de signatures et de nouvelles variantes.

Egregor : Maze reloaded

Les autorités n’ont pas chômé cette année. Outre Egregor et CLOP, des actions ont été menées contre Netwalker en Bulgarie et aux États-Unis, tandis qu’Europol a annoncé qu’une opération internationale avait perturbé l’infrastructure centrale d’Emotet, l’un des botnets les plus importants de la dernière décennie.

Toutes les instances, des gouvernements aux entreprises individuelles, prennent la menace des rançongiciels plus sérieusement. Face à cette pression supplémentaire, les cybercriminels préfèrent souvent faire des hiatus plutôt que de rester en place assez longtemps pour être arrêtés. Par exemple, DarkSide a cessé ses activités après les attaques de Colonial Pipeline, neuf mois seulement après sa création, et un administrateur du gang Ziggy a annoncé qu’il effectuerait des remboursements avant de chercher un emploi, plus stable, de spécialiste de la chasse aux menaces.

Ziggy egregor

Prenez ces regrets avec des pincettes. Les acteurs qui ont « cessé leurs activités » n’ont pas changé d’avis, ils ont simplement changé de tactique. Des noms différents et une nouvelle infrastructure peuvent aider à éviter la controverse et à contourner les sanctions américaines ou les contrôles fédéraux. PayloadBIN (un nouveau rançongiciel apparu le mois dernier), WastedLocker, Dridex, Hades, Phoenix, Indrik Spider… autant de pseudonymes pour un seul et même groupe : Evil Corp.

Le FBI devient de plus en plus agressif dans ses méthodes d’infiltration et de désorganisation, il est donc probable que nous verrons davantage de ces retournements et de ces tactiques de guérilla. Les gangs provisoires sont une tendance émergente en lieu et place de grandes organisations bien établies comme REvil, dont les sites Web ont également disparu après l’attaque contre Kaseya. Et il ne fait aucun doute que nous continuerons à assister à ces « Exit Scam » (arnaques de sortie), où les groupes se retirent et changent de noms, comme Maze l’a fait en septembre dernier, lorsqu’il est revenu sous le nom d’Egregor.

Il s’agit alors de pouvoir détecter les logiciels malveillants indépendamment de leur nom ou de leur source.

Analyse rétrospective

Si l’attaque n’avait pas été neutralisée à ce stade, elle aurait pu entraîner d’importantes pertes financières et porter atteinte à la réputation de l’entreprise. L’attaque à deux dimensions a permis à Egregor à la fois de chiffrer des ressources critiques et de les extraire, dans le but de rendre publiques des données sensibles si les victimes refusaient de payer.

egregor

Le coût le plus élevé d’Egregor s’est porté à 4 000 000 de dollars.

Les groupes affiliés qui ont déployé le rançongiciel dans cette affaire étaient hautement qualifiés. Ils ont exploité un certain nombre de techniques sophistiquées, notamment l’utilisation d’un grand nombre de points d’extrémité C2, avec des sosies et des outils prêts à l’emploi.

egregor

30% des profits d’Egregor retournent directement aux créateurs.

L’adoption du HTTPS pour les mouvements latéraux et la reconnaissance a réduit le bruit de fond pour les scans et l’énumération. Le système C2 comportait de multiples points d’accès, dont certains étaient des sosies de sites légitimes. En outre, certains logiciels malveillants étaient téléchargés sous forme de fichiers masqués : les fichiers mimetype Octet Streams étaient téléchargés sous le nom de « g.pixel ». Ces trois manœuvres concomitantes ont permis de brouiller les pistes et de tromper les outils de sécurité traditionnels.

Les attaques de type rançongiciels se produisent à une vitesse qui était inimaginable il y a cinq ans. Dans le cas présent, la durée totale de l’attaque a été de moins d’une semaine, et une partie de l’attaque a eu lieu en dehors des heures de bureau. Cela souligne la nécessité d’une réponse autonome, qui peut suivre les nouvelles menaces et ne dépend pas de la présence humaine pour contenir les cyberattaques.

Aujourd’hui absent, présent demain

Egregor a été démantelé en février 2021, mais il se pourrait bien qu’il refasse surface sous un autre nom et avec un code modifié. Si et quand cela se produira, les signatures ne seront d’aucune utilité. La lutte contre les rançongiciels inédits, qui utilisent de nouvelles méthodes d’intrusion et d’extorsion, exige une approche complètement différente.

Egregor

150 sociétés ont été touchées par Egregor.

Dans le cas d’Egregor, leur terminal est désormais associé à Cobalt Strike par le biais d’une source ouverte de renseignements (OSINT), mais au moment de l’enquête, le C2 n’était pas répertorié. De même, le logiciel malveillant était inconnu de l’OSINT et a donc échappé aux outils basés sur les signatures. Malgré cela, une IA auto-apprenante peut détecter chaque étape de l’attaque en cours, sans qu’une action humaine ne soit entreprise.

Nous remercions Roberto Romeu, analyste de Darktrace, pour son point de vue sur la découverte de cette menace.